# PROC — Void Manticore/Handala: MDM como Arma de Destruição em Massa (Intune Wipe) ## Visão Geral O [[void-manticore|Void Manticore]], também conhecido públicamente como "Handala", é um ator de ameaça iraniano vinculado ao IRGC que combina hacktivismo declarativo com destruição de infraestrutura de alto impacto. Em vez de implantar malware wiper customizado em cada dispositivo individualmente — como fez o [[g0034-sandworm|Sandworm]] com o NotPetya — o grupo desenvolveu uma abordagem radicalmente mais eficiente: comprometer uma única conta de administrador global do Azure Active Directory e usar o próprio Microsoft Intune, ferramenta legítima de gerenciamento de dispositivos, para enviar comandos de **factory reset remoto** para toda a frota de endpoints da organização alvo. O ataque à Stryker Corporation em 2026, documentado na campanha [[operation-ghostmail-2026|Operation GhostMail 2026]], resultou no apagamento de mais de 200.000 dispositivos e na exfiltração prévia de aproximadamente 50 terabytes de dados corporativos. Esta técnica representa uma evolução categórica em ataques destrutivos: ao explorar a funcionalidade [[t1485-data-destruction|T1485 - Data Destruction]] por meio de ferramentas de gerenciamento legítimas ([[t1078-valid-accounts|T1078 - Valid Accounts]]), o atacante não precisa contornar antivírus, EDRs ou controles de segurança de endpoint — a destruição é autorizada e executada pela própria plataforma de TI da organização. O acesso a uma única conta privilegiada é suficiente para comprometer centenas de milhares de dispositivos simultaneamente, sem qualquer implante adicional. **Contexto Brasil/LATAM:** A adoção de Microsoft 365 e Intune cresceu de forma acelerada em grandes corporações brasileiras nos setores de saúde, manufatura, financeiro e governo nos últimos anos. Muitas organizações migraram para MDM centralizado sem implementar controles de segurança adequados para as contas de administrador que controlam toda a frota. A ausência de Privileged Identity Management (PIM) e de Conditional Access com MFA resistente a phishing em contas Global Admin é comum no mercado nacional, criando uma superfície de ataque idêntica à explorada pelo [[void-manticore|Void Manticore]] contra alvos israelenses e ocidentais. O risco é agravado pela escassez de alertas nativos para operações de Bulk Wipe no Intune em ambientes corporativos brasileiros que não utilizam Microsoft Sentinel. ## Attack Flow ```mermaid graph TB A[Credencial de Global Admin comprometida] --> B[Acesso ao tenant Azure AD / M365] B --> C[Reconhecimento via inventário Intune] C --> D[Exfiltração de 50TB via SharePoint/rclone] D --> E:::critical E[Bulk Wipe: 200.000 dispositivos apagados] --> F[Divulgação pública no Telegram Handala] classDef critical fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 — Comprometimento de conta Global Administrator.** O acesso inicial é obtido por meio de spearphishing direcionado a administradores de TI ou por uso de credenciais roubadas em violações anteriores. Com uma única conta de **Global Administrator** comprometida no Azure Active Directory, o [[void-manticore|Void Manticore]] obtém acesso irrestrito a todo o tenant Microsoft 365: usuários, grupos, aplicações, email, arquivos e — criticamente — ao painel do Microsoft Intune com visibilidade e controle sobre 100% dos dispositivos gerenciados da organização. Não há movimento lateral necessário; o AD Global Admin já é o nível de acesso máximo na plataforma. **Passo 2 — Reconhecimento silencioso e exfiltração prévia.** Antes de qualquer ação destrutiva, o grupo realiza reconhecimento completo via o próprio dashboard do Intune, que fornece inventário detalhado de cada dispositivo: modelo, sistema operacional, usuário associado, aplicativos instalados e localização de dados. Concomitantemente, utiliza o acesso ao SharePoint e OneDrive do M365 para exfiltrar dados corporativos críticos com ferramentas de sincronização legítimas, disfarçando a transferência como atividade de backup. A exfiltração acontece semanas antes do wipe, garantindo material para dupla extorsão e inteligência estratégica — o wipe só é acionado depois que os dados já foram copiados pelos atacantes. **Passo 3 — Wipe massivo via Bulk Device Actions do Intune.** Com a exfiltração concluída, o [[void-manticore|Void Manticore]] navega no portal do Intune até **Dispositivos → Todos os Dispositivos → Ações de Dispositivo em Massa → Apagar**. As opções são configuradas para maximizar o dano: sem preservação do status de enrollment (impede re-enrollment rápido) e com apagamento da proteção BitLocker. O comando MDM é enviado via push notification para todos os dispositivos registrados. Cada endpoint, ao verificar o Intune (processo automático a cada 8 horas ou imediato se online), recebe o comando [[t1485-data-destruction|T1485]] e executa o factory reset — sem aviso ao usuário, sem possibilidade de intervenção local. A destruição de 200.000 dispositivos ocorre de forma paralela e totalmente silenciosa do ponto de vista do usuário final. ## Detecção | Etapa | Event ID / Log Source | Indicador de Comprometimento | |-------|----------------------|------------------------------| | Acesso inicial | Azure AD Sign-in Logs (Unified Audit Log) | Login de Global Admin originado de IP/ASN desconhecido, país incomum ou sem MFA satisfeito | | Reconhecimento no Intune | Microsoft Purview Audit — `IntuneAuditLogs` | Exportação do inventário completo de dispositivos ou consultas massivas à API do Intune | | Exfiltração via SharePoint | Microsoft Defender for Cloud Apps (MCAS) | Download de volume anômalo de arquivos SharePoint/OneDrive por uma única conta em jánela de horas | | Bulk Wipe no Intune | Microsoft Purview Audit — `IntuneAuditLogs` | `OperationName == "Wipe"` + `BulkAction` — raramente legítimo em ambientes corporativos | | Comando MDM recebido | Sysmon EID 1 (Process Creaté) no endpoint | `dmwappushservice` ou `mdmdiag` executando factory reset sem interação do usuário | | Exfiltração via rclone | Sysmon EID 3 (Network Connect) + EDR | Processo `rclone.exe` com uploads contínuos para cloud storage externo | ```yaml title: Void Manticore - Intune Bulk Device Wipe status: stable description: Detecta execução de Bulk Wipe via Microsoft Intune — operação que nunca deve ocorrer em produção sem aprovação explícita de mudança. Alta fidelidade de alerta para ataques do tipo "MDM as Weapon" como o usado pelo Void Manticore/Handala. logsource: product: azure service: intune_audit detection: selection_wipe: OperationName|contains: - 'Wipe' - 'BulkAction' ResultType: 'Success' condition: selection_wipe timeframe: 5m aggregation: groupby: - ActorUPN having: WipeCount: '>10' falsepositives: - Wipe legítimo de dispositivos perdidos ou roubados em pequena escala - Procedimentos de offboarding massivo documentados com change request aprovado level: critical tags: - attack.impact - attack.t1485 - attack.t1078 ``` ## Mitigação | Controle | Implementação Prática | Prioridade para Orgs Brasileiras | |----------|-----------------------|----------------------------------| | Privileged Identity Management (PIM) | Configurar Global Admin como papel Just-in-Time no Azure AD PIM: aprovação obrigatória, jánela máxima de 8 horas, notificação para CISO a cada ativação | Crítica — elimina o vetor principal; Global Admin permanente é inaceitável em 2026 | | MFA resistente a phishing para admins | Exigir FIDO2 (chaves físicas de segurança) ou Windows Hello for Business para todas as contas com privilégios de Global Admin e Intune Admin — banir MFA via SMS ou app authenticator convencional | Crítica — MFA por SMS ou TOTP não impede phishing adversarial (AiTM) | | Alerta de P1 em Bulk Actions no Intune | Criar regra no Microsoft Sentinel: qualquer `BulkAction` no Intune afetando >10 dispositivos dispara incidente P1 com paging imediato para o time de SOC | Alta — detecção tardia, mas pode limitar o número de dispositivos apagados se a resposta for rápida | | Segregação de responsabilidades | Separar as funções de Intune Administrator e Global Administrator; nenhuma conta deve acumular ambos os papéis; usar grupos de acesso distintos com aprovadores diferentes | Alta — limita o raio de explosão de um único comprometimento de credencial | | Monitoramento de exfiltração via MCAS | Configurar política no Microsoft Defender for Cloud Apps para alertar em download ou sincronização de volume anômalo de SharePoint/OneDrive por qualquer conta de admin | Alta — a exfiltração precede o wipe; detectar o comportamento de exfiltração pode interromper o ataque antes da destruição | | Backup offline de configurações críticas | Manter backup imutável e desconectado da rede de configurações do Intune, políticas de AD e imagens de sistema — garantindo capacidade de reconstrução sem dependência do tenant M365 comprometido | Média — não previne o ataque, mas reduz drasticamente o tempo de recuperação | --- **Ver também:** [[ Handala]] · [[operation-ghostmail-2026|Operation GhostMail 2026]] · [[t1485-data-destruction|T1485 - Data Destruction]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1489-service-stop|T1489 - Service Stop]] · [[g0034-sandworm|Sandworm]] · [[_playbooks|Playbooks de Resposta a Incidentes]] · [[_techniques|Índice de TTPs]]